랩 2: 디바이스 잠금 기능
랩 1a 및 1b에서는 OS를 참조 디바이스에 설치하고 감사 모드에서 사용자 지정을 수행했습니다. 이 랩에서는 Windows에 기본 제공되는 디바이스 잠금 기능을 사용하여 디바이스를 잠그는 여러 가지 방법을 설명합니다. 디바이스 잠금 기능은 특정 순서로 나열되지 않습니다. 빌드하는 디바이스에 따라 일부 또는 전혀 기능 중 일부 또는 전혀 기능을 사용하도록 설정할 수 있습니다.
참고 항목
이 랩은 선택 사항입니다. 이 랩에서 설명하는 기능을 사용하도록 설정하지 않고도 IoT Enterprise 디바이스를 구축할 수 있습니다. 이러한 기능을 구현하지 않는 경우 랩 3을 계속할 수 있습니다.
이러한 단계에 대한 완전 자동화된 접근 방식은 Windows IoT Enterprise 배포 프레임워크를 사용하는 것이 좋습니다.
필수 조건
랩 1a 완료: 기본 이미지를 만듭니다.
키보드 필터
키보드 필터를 사용하면 바람직하지 않은 키 누름 또는 키 조합을 표시하지 않는 데 사용할 수 있는 컨트롤을 사용할 수 있습니다. 일반적으로 고객은 Ctrl+Alt+삭제, Ctrl+Shift+Tab, Alt+F4 등과 같은 특정 키 조합을 사용하여 디바이스 작업을 변경할 수 있습니다. 키보드 필터를 사용하면 사용자가 이러한 키 조합을 사용할 수 없으므로 디바이스가 전용 용도로 사용되는 경우에 유용합니다.
키보드 필터 기능은 물리적 키보드, Windows 화상 키보드 및 터치 키보드에서 작동합니다. 키보드 필터는 동적 레이아웃 변경 내용을 감지하고 키보드에서 표시되지 않는 키의 위치가 변경되더라도 키를 계속 올바르게 표시하지 않습니다. 이 시나리오의 예는 한 언어 집합에서 다른 언어로 전환하는 것입니다.
키보드 필터 키는 레지스트리의 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Embedded\KeyboardFilter에 저장됩니다.
키보드 필터 사용
키보드 필터를 사용하도록 설정하는 몇 가지 방법이 있습니다. 이러한 방법 중 하나에 대한 지침을 제공합니다. 자세한 내용은 키보드 필터를 참조 하세요.
관리 명령 프롬프트에서 다음 명령을 실행하여 키보드 필터 기능을 사용하도록 설정합니다.
Dism /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-KeyboardFilter참조 디바이스를 다시 시작하라는 메시지가 표시되고 다시 부팅하려면 Y를 입력합니다. 디바이스가 감사 모드로 다시 부팅됩니다.
키보드 필터를 사용하도록 설정하면 키보드 필터 PowerShell 스크립트 샘플을 참조하여 키 조합을 차단하는 방법을 알아봅니다.
이 랩에서는 Ctrl+Alt+DEL 키를 차단하는 데모를 제공합니다. 관리 PowerShell 명령 창에서 다음 명령을 복사하여 붙여넣습니다.
$key = "Ctrl+Alt+Del" $setkey = Get-WMIObject -class WEKF_PredefinedKey –computer localhost –namespace root\standardcimv2\embedded | where {$_.Id -eq "$key"}; $setkey.Id = $key $setkey.Enabled = 1; $setkey.Put() | Out-Null;참조 디바이스를 다시 시작한 다음 CTRL+ALT+DEL 키가 차단되어 있는지 확인합니다.
UWF(통합 쓰기 필터)
UWF(통합 쓰기 필터) 는 모든 쓰기를 가로채서 가상 오버레이의 드라이브(앱 설치, 설정 변경, 저장된 데이터)로 리디렉션하여 디바이스의 구성을 보호하는 데 도움이 됩니다. 통합 쓰기 필터를 사용하지 않도록 설정할 때까지 유지되도록 구성되지 않은 경우 이 오버레이는 다시 부팅하여 자동으로 삭제됩니다.
UWF 사용
관리 명령 프롬프트에서 다음 명령을 실행하여 통합 쓰기 필터 기능을 사용하도록 설정합니다.
Dism /online /enable-feature /featureName:Client-DeviceLockdown /featureName:Client-UnifiedWriteFilter참조 디바이스 다시 시작
오버레이 및 보호를 구성하고 사용하도록 설정하는 것은 스크립팅을 통해 수행하는 것이 가장 좋지만 이 랩에서는 명령줄을 사용하여 구성합니다.
샘플 스크립트를 포함하여 UWF에 대한 자세한 내용은 UWF(통합 쓰기 필터)를 참조하세요.
관리 명령 프롬프트에서 다음 명령을 실행합니다.
uwfmgr volume protect c: uwfmgr filter enable참조 디바이스 다시 시작
관리 명령 프롬프트에서 UWF가 실행 중인지 확인합니다. Filer 상태는 ON이어야 합니다.
uwfmgr.exe get-config이제 모든 쓰기가 RAM 오버레이로 리디렉션됩니다. 이 오버레이는 참조 디바이스를 다시 부팅할 때 삭제됩니다.
Windows Media Player 레거시(앱) 선택적 기능을 제거해 보세요.
Dism /online /Disable-Feature /FeatureName:"WindowsMediaPlayer"앱이 제거되었음을 알 수 있지만 디바이스를 다시 시작하면 앱이 다시 시작됩니다.
통합 쓰기 필터를 사용하지 않도록 설정하려면 다음 명령을 실행한 다음 디바이스를 다시 부팅합니다.
uwfmgr filter disableUWF가 비활성화되어 있는지 확인합니다. Filer 상태는 OFF여야 합니다.
uwfmgr.exe get-config
참고 항목
통합 쓰기 필터를 사용할 때는 운영 체제 제품 활성화를 고려해야 합니다. 통합 쓰기 필터가 사용하지 않도록 설정된 상태에서 제품 활성화를 수행해야 합니다. 또한 이미지를 다른 디바이스에 복제할 때 이미지는 Sysprep 상태에 있어야 하며 이미지를 캡처하기 전에 필터를 사용하지 않도록 설정해야 합니다.
브랜드 해제 부팅
브랜드가 없는 부팅 을 사용하면 다음을 수행할 수 있습니다.
- Windows가 시작되거나 다시 시작될 때 표시되는 Windows 요소를 표시하지 않습니다.
- Windows에서 복구할 수 없는 오류가 발생하면 크래시 화면을 표시하지 않습니다.
브랜드 없는 부팅 사용
관리 명령 프롬프트에서 다음 명령을 실행하여 브랜드 없는 부팅 기능을 사용하도록 설정합니다.
Dism /online /enable-feature /featureName:Client-DeviceLockdown Dism /online /enable-feature /FeatureName:Client-EmbeddedBootExp참조 디바이스 다시 시작
BCDEdit를 사용하여 런타임 시 언브랜드 부팅 설정 구성
다음과 같은 방법으로 관리 명령 프롬프트에서 브랜드 없는 부팅을 사용자 지정할 수 있습니다.
고급 시작 옵션 메뉴에 액세스하지 못하도록 시작하는 동안 F8 키를 사용하지 않도록 설정합니다.
bcdedit.exe -set {globalsettings} advancedoptions false고급 시작 옵션 메뉴에 액세스하지 못하도록 시작하는 동안 F10 키를 사용하지 않도록 설정합니다.
bcdedit.exe -set {globalsettings} optionsedit false시작하는 동안 모든 Windows UI 요소(로고, 상태 표시기 및 상태 메시지)를 표시하지 않습니다.
bcdedit.exe -set {globalsettings} bootuxdisabled on
참조 디바이스를 다시 시작하고 시작하는 동안 Windows UI 요소가 표시되지 않는 것을 확인합니다.
참고 항목
예를 들어 bcdboot를 사용하여 BCD 정보를 다시 빌드할 때마다 위의 명령을 다시 실행해야 합니다.
사용자 지정 로그온
사용자 지정 로그온 기능을 사용하여 시작 화면 및 종료 화면과 관련된 Windows UI 요소를 표시하지 않을 수 있습니다. 예를 들어, 시작 화면 UI의 모든 요소를 표시하지 않고 사용자 지정 로그온 UI를 제공할 수 있습니다. 또한 BSDR(차단된 종료 해결 프로그램) 화면을 표시하지 않을 수 있으며 OS가 종료되기 전에 애플리케이션이 닫히기를 기다리는 동안 애플리케이션을 자동으로 종료할 수도 있습니다. 자세한 내용은 사용자 지정 로그온을 참조하세요.
참고 항목
사용자 지정 로그온 기능은 공백 또는 평가 제품 키를 사용하는 이미지에서 작동하지 않습니다. 아래 명령으로 변경된 사항을 보려면 유효한 제품 키를 사용해야 합니다.
관리 명령 프롬프트에서 다음 명령을 실행하여 사용자 지정 로그온 기능을 사용하도록 설정합니다.
Dism /online /enable-feature /featurename:Client-DeviceLockdown /featurename:Client-EmbeddedLogon다시 시작하라는 메시지가 표시되면 아니요를 선택합니다.
다음 레지스트리 항목을 수정합니다. 덮어쓰라는 메시지가 표시되면 [예]를 선택합니다.
- 이 명령은 로그온하는 동안 브랜딩 정보의 표시를 제어하는 레지스트리의 BrandingNeutral 값을 설정합니다.
Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v BrandingNeutral /t REG_DWORD /d 1- 이 명령은 레지스트리에서 자동 로그온 사용자 인터페이스의 표시를 제어하는 HideAutoLogonUI 값을 설정합니다.
Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v HideAutoLogonUI /t REG_DWORD /d 1- 이 명령은 레지스트리에서 첫 번째 로그온 애니메이션의 표시를 제어하는 HideFirstLogonAnimation 값을 설정합니다.
Reg add "HKLM\SOFTWARE\Microsoft\Windows Embedded\EmbeddedLogon" /v HideFirstLogonAnimation /t REG_DWORD /d 1- 이 명령은 레지스트리에서 AnimationDisabled 값을 설정하며 로그온 UI 애니메이션이 비활성화되어 있는지 여부를 제어합니다.
Reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI" /v AnimationDisabled /t REG_DWORD /d 1- 이 명령은 잠금 화면이 표시되는지 여부를 제어하는 레지스트리의 NoLockScreen 값을 설정합니다.
Reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Personalization" /v NoLockScreen /t REG_DWORD /d 1- 이 명령은 레지스트리에서 사용자 인터페이스의 세부 정보 표시 수준을 제어하는 UIVerbosityLevel 값을 설정합니다.
Reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v UIVerbosityLevel /t REG_DWORD /d 1참조 디바이스를 다시 시작합니다. 시작 화면 및 종료 화면과 관련된 Windows UI 요소가 더 이상 표시되지 않습니다.
다음 단계
잠금 기능을 사용하도록 설정했습니다. 그룹 정책을 사용하여 디바이스의 사용자 환경을 추가로 사용자 지정할 수 있습니다. 랩 3에서는 정책 설정을 구성하는 방법을 다룹니다.